Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.





Broken Access Control OWASP Top 10 - ALTUN

Web & Server Güvenliği

Yeni Konu aç Cevapla
 
Seçenekler
Alt 2 Hafta önce   #1
  • Binbaşı
  • Üye Bilgileri
Üyelik tarihi
12/2017
Nereden
DerinDevlet
Mesajlar
Konular

Teşekkür (Etti): 217
Teşekkür (Aldı): 338


Broken Access Control OWASP Top 10 - ALTUN




Türkçe Altyazı seçeneğini de aktif ederek mutlaka bu video'yu da izlemenizi tavsiye ederim.

Broken Access Control ( Kırık Erişim kontrolü ), kullanıcıların amaçlanan izinlerinin dışında hareket edemeyecekleri bir politika uygulaması anlamına gelir.

Hatalar, tipik olarak, tüm verilerin yetkisiz bilgilerin ifşa edilmesine, değiştirilmesine veya imha edilmesine veya bir kullanıcı işlevinin kullanıcının sınırları dışında kalmasına neden olur.




Ortak erişim denetimi güvenlik açıklarına örnek verecek olursak ;
  • Erişim kontrolünü atlamak, URL’yi, dahili uygulama durumunu veya HTML sayfasını değiştirerek veya yalnızca özel bir API saldırı aracı kullanarak denetlemeyi sağlar.
  • Birincil anahtarın başkalarının kullanıcı kaydına değiştirilmesine izin vermek, başkasının hesabını görüntülemek veya düzenlemek için izin vermek.


  • Ayrıcalık yükselmesi. Giriş yapmadan kullanıcı olarak hareket etmek veya kullanıcı olarak giriş yaptığınızda yönetici olarak hareket etmeye kısacası yetkisiz yetki erişimine sahip olmanızı sağlar.

  • CORS yanlış yapılandırması yetkisiz API erişimine izin vermesini sağlıyor bu da ciddi bir güvenlik açığını beraberinde getiriyor.




KIRIK ERİŞİM KONTROLÜ ÖRNEKLERİ





Uygulama, hesap bilgilerine erişen bir SQL çağrısında doğrulanmamış verileri kullanıyor:


Kod:
 
pstmt.setString (1, request.getParameter ("acct")); ResultSet results = pstmt.executeQuery ();


Bir saldırgan, acctistediği hesap numarasını göndermek için tarayıcıdaki parametreyi değiştirir . Doğru şekilde doğrulanmadıysa, saldırgan herhangi bir kullanıcının hesabına erişebilir.



Kod:
      

http://example.com/app/accountInfo?acct= notmyacct


Bir saldırgan sadece URL’leri hedef URL’lere yönlendirmeye zorluyor


Yönetici sayfasına erişim için yönetici hakları gereklidir
.


Kod:
http://example.com/app/getappInfo http://example.com/app/ admin_getappInfo
Kimliği doğrulanmamış bir kullanıcı iki sayfaya da erişebiliyorsa, bu bir kusurdur. Yönetici olmayan yönetici yönetici sayfasına erişebiliyorsa, tekrar bir zaafiyet söz konusu olmuş olacak.




KIRIK ERİŞİM KONTROLÜ NASIL ENGELLENİR
Erişim denetimi, yalnızca saldırganın erişim denetimi denetimini veya **** verileri değiştiremediği güvenilir sunucu tarafı koduna veya sunucu içermeyen API'ye zorlandığında etkilidir.

Varsayılan olarak işlevselliğe erişimi reddetme.
Erişim denetimi listelerini ve rol tabanlı kimlik doğrulama mekanizmalarını kullanın.
Sadece işlevleri gizlemememiz gerekiyor

Konu metonya tarafından ( 2 Hafta önce Saat 15:08 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Teşekkür

The CrueL, deargod, Ludas, emr3q Teşekkür etti.
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau